[點晴永久免費OA]win2003服務(wù)器的基本安全
當(dāng)前位置:點晴教程→點晴OA辦公管理信息系統(tǒng)
→『 安裝指引&開發(fā)建議 』
以下是一臺win2003服務(wù)器的基本安全,設(shè)置完相對會安全些。[br][br]1,打全補丁[br] 新裝好的系統(tǒng)直接用360安全衛(wèi)士打補丁最快。還有就是別忘記查查系統(tǒng)是不是已經(jīng)是sp2了。有時機房給裝的是sp1的。那就必須下載sp2。[br] 打開自動更新(我的電腦,右鍵屬性,自動更新)。一般默認(rèn)是晚上3:00自動更新并重啟。這比較 重要。如果不是一定不能重啟的機器,這個一定要開。不然機器一多,你平時沒空管,那有新補丁出來你也就沒給服務(wù)器打上了。[br][br][br]2,帳號安全[br] 1)禁用guest帳號并改名。[br] 2)網(wǎng)站iis帳號最好用獨立的。(網(wǎng)站目錄也是)[br] 3)用戶名和密碼一定不能用容易被人猜到的。最好用雜亂的 7uxj2a這類。例如你是sms服務(wù)器,你密碼用smsserver就是弱密碼,容易被人猜到。人家只要通過你某個漏洞查到你的管理員名字就直接進(jìn)了。[br] 4)不讓系統(tǒng)顯示上次登錄的用戶名,具體操作如下:修改注冊表“hklm\software\microsoft\windowsnt\current version\winlogon\dont display[br] last user name”的鍵值,把reg_sz 的鍵值改成1。[br][br][br]3,修改遠(yuǎn)程端口[br] 運行--> regedit[br] 查找 portnumber,查以的所有原來為:3389的,全部更換為你的新端口號。(同樣如果你的防火墻原來有開了,記得要更改端口號,否則一重啟就生效,你就連不進(jìn)服務(wù)器了)[br][br]4,關(guān)閉無用服務(wù)[br] 管理工具- 服務(wù) (這里僅列出默認(rèn)裝好的sp2系統(tǒng)要關(guān)閉的,要更高安全還有其它的要關(guān),但會影響到其它服務(wù))[br] dhcp client 停用,禁用。這是自動分配ip用的,正常的服務(wù)器我們都有指定了固定ip了,所以這個服務(wù)多余了。[br] print spooler 停用,禁用,打印服務(wù),服務(wù)器誰能用來打印?[br] remote registry 停用,禁用,遠(yuǎn)程注冊表操作,無用。漏洞。[br] wireless configuration 停用,禁用,服務(wù)器都是用網(wǎng)卡的,都不需要無線網(wǎng)卡,如果這個不關(guān)掉,去設(shè)置網(wǎng)卡屬性的時候老是會彈出個東西,極度不爽。所以一定要關(guān)掉。[br] tcp/ip netbios helper 停用,禁用。常用漏洞。[br] [br][br]5,開啟win2003自帶的防火墻。[br] 雖然這個系統(tǒng)網(wǎng)卡里的自帶防火墻并不強,但是有總比沒有好。至少不會把一些現(xiàn)成的漏洞直接暴露到黑客眼前。[br] 網(wǎng)上鄰居-右鍵屬性-網(wǎng)卡-右鍵屬性[br] 1)刪除文件共享服務(wù)。- 服務(wù)器哪里需要和別人共享?![br] 2)打開防火墻 - 記得設(shè)置好端口再打開,否則沒設(shè)置好就連不上遠(yuǎn)程桌面了。[br][br]6,關(guān)掉關(guān)機提醒[br] 關(guān)機或注銷的時候老彈出個提示要你填原因。麻煩。[br] 運行:gpedit.msc ,計算機配置 - 管理模板 - 系統(tǒng)[br] 顯示 “關(guān)閉事件跟蹤程序”- 選 “已禁用”[br][br]7,管理工具-- 本地安全策略[br] 這個也比較 重要,當(dāng)你系統(tǒng)出漏洞的時候,有時候你都不知道人家從哪里進(jìn)的,因為你日志什么都沒開。[br] 安全策略--本地策略-- 審核策略 (這里正常是這么設(shè)置:第1,2項和最后兩項,選上成功與失敗,其余的只記錄失敗)[br] 本地策略--安全選項 - 可遠(yuǎn)程訪問的注冊表路徑和子路徑(有兩項),清空。[br][br]8,iis安全及優(yōu)化[br] 直接刪掉默認(rèn)站點,刪除c:\inetpub ,(早期這個下面會有漏洞,現(xiàn)在應(yīng)該沒了,但留著也礙眼)[br] 關(guān)掉默認(rèn)的ftp服務(wù),系統(tǒng)有時候有些裝機的人會給裝上ftp服務(wù),最好關(guān)掉。[br] 站點屬性-- 主目錄--配置 --里面有一些如 .cdx .cer .idc要刪掉。這是非常老的漏洞。不管現(xiàn)在還能不能用,刪了最好。[br] 主目錄下,執(zhí)行權(quán)限,普通的網(wǎng)站,只能給“純腳本”權(quán)限,這樣正常的php,asp..net這些就已經(jīng)可以運行了。有些新手選擇了“腳本和可執(zhí)行文件”,天大的漏洞,我傳個.exe上來,直接ie用url來執(zhí)行.exe都可以了。所以這里千萬要小心。[br] web服務(wù)擴展- 看具體情況打開。服務(wù)器安全有一個準(zhǔn)則:不用的服務(wù)堅決不打開。[br] [br] 關(guān)閉iis錯誤日志,經(jīng)常服務(wù)器c盤被占滿,都是這個原因。直接關(guān)了。(日志文件在c:\windows\system32\logfiles\httperr)
該文章在 2010/7/8 14:35:44 編輯過 |
關(guān)鍵字查詢
相關(guān)文章
|
400 186 1886
